Network Access Protection - 3 - NAP DHCP Enforcement – NAP´in DHCP Uygulaması
Merhaba,
NAP ile ilgili ilk makalemde NAP’in genel komponentleri hakkinda konusmustuk, bugün sizlere spesifik olarak NAP’in DHCP uygulamasi hakkinda bilgi vermek istiyorum.
NAP DHCP Enforcement – NAP’in DHCP Uygulamasi
NAP’in DHCP uygulamasi, standart DHCP mesajlarinin içine Client’in saglik durumu belirten raporlari (SoH) gömerek Client´in saglikli veya sagliksiz olduguna DHCP sunucu vasitasiyla karar vermesini saglar.
NAP özelliklerine sahip DHCP Client Servisi, NAP Agent´a Client’in saglik durumunu belirten raporu (SoH) sorgular. DHCP Client Servisi bu raporu DHCPDiscover, DHCPRequest veya DHCPInform paketlerinin içine kendine özel Microsoft Vendor-specific DHCP Option olarak yerlestirir. DHCPDecline ve DHCPRelease mesajlari saglik raporu ( SoH ) içermez.
NAP özelliklerine sahip DHCP Client ayni özelliklere sahip DHCP Server´dan IPv4 adresi almak istediginde asagidaki prosedür uygulanir:
1- Client üzerinde çalisan ve DHCP Client Servisi´nin bir parçasi olan DHCP QEC (Quarantine Enforcement Client) NAP Agent´a saglik raporlarini (SoH) sorgular.
2- NAP Agent, Client üzerinde yüklenmis olan System Health Agent (SHA) ´lar tarafindan bellege yazilmis saglik raporlarini DHCP QEC´ye yollar.
3- DHCP Client Servisi, DHCPDiscover paketini hazirlar ve yollar. DHCPDiscover paketinin içine Client´tin saglik raporu (SoH) Microsoft Vendor-specific DHCP options kullanilarak yerlestirilir.
4- NAP özelliklerine sahip DHCP Server Servisi, DHCPDiscover paketini alir ve DHCPDiscover paketinin içinden Client’in saglik raporunu çikarir. DHCP Server Servisi çikarttigi bu saglik raporunu NPS Server´a Radius Vendor Specific Attribute´lari kullanarak Radius Access-Request paketinin içinde yollar.
*5-9 arasindaki adimlar sadece bir sunucu üzerinde de olabilir, burada sadece islemlerin detayini anlatmak açisindan 2 ayri sunucuda oldugu kabul edilmistir*
5- Radius Access-Request paketini alan NPS Server, Radius Vendor-specific attributes içinden SoH´i çikartir ve bunu NAP Administration Server´a yollar.
6- SoH ´i alan NAP Administration Server bunu ilgili System Health Validator´a (SHV) gönderir.
7- SHV, NAP Administration Server tarafindan yollanan SoH´yi analiz eder ve SoHResponse (Saglik raporu analiz sonuçlari) paketi ile NAP Administration Server´a cevap verir.
8- NAP Administration Server, ona iletilen SOHResponse´lari NPS Server´a yollar.
9- NPS Server iletilen SoHResponse´lari üzerinde ayarlanmis olan Network Access Politikalari ile karsilastirip, Client’in kisitli veya kisitlama olmadan network ´e baglanmasina karar verir.
10- NPS Server Radius Access-Accept paketi hazirlar ve Client’in network ‘e baglanmasina izin veren (veya vermeyen) SoHResponse mesajlarini Radius Vendor-specific attribute olarak DHCP Server´a gönderir.
11- Radius Access-Accept paketini alan DHCP Server, paketin içinden SoHResponse mesajlarini alir ve bunlari DHCP Vendor-specific option mesaji olarak formatlar.
12- DHCP Server, Router DHCP Option ayari 0.0.0.0 ve subnet mask ayari 255.255.255.255 olan DHCPOffer paketini ve varsa ayarlanmis Classless Static Route opsiyonlarini Client´a yollar.
NAP DHCP Enforcement – SoH içeren DHCP Paketi:
NAP DHCP Enforcement – Uygulama Komponentleri:
DHCP Quarantine Enforcement Client (QEC)
QEC, SoH bilgisini Microsoft Vendor-Specific DHCP Option olarak NAP´tan anlayan DHCP sunucusuna gönderir.
SoH burada binary blog olarak tanimlanir ve Vendor Specific Extensions Option (43) olarak gönderilir.
SoH sadece DHCPDiscover, DHCPRequest veya DHCPInform mesajlarinda bulunur, DHCPDecline veya DHCPRelease mesajlarinda SoH yoktur.
DHCP Server
NAP spesifik bir Scope yâda tüm Scope´lar için kullanilabilir
Windows Server 2008 DHCP Server Client tarafindan yollanan SoH içerikli DHCP paketini alir
DHCP Server bu SoH bilgisini arka planda çalisan NPS Server´a yollar
NPS gerekli Scope Opsiyonlarini DHCP´ye bildirir.
Network Policy Server (NPS)
NPS, DHCP Server tarafindan gönderilen SoH bilgisini kontrol etmek amaçla kullanilir.
NAP DHCP Enforcement – SoH ne zaman yenilenir?
1- DHCP Lease biterse
2- Network durumu degisip DHCP Renewal olursa
3- Client konfigürasyonunda bir degisiklik olursa (Anti virüs kapatildi, firewall kapatildi vs. )
NAP DHCP Enforcement ile paylasmak istediklerim simdilik bu kadar, bir sonraki makalede bulusmak üzere…
Aydin